Datenübermittlungen ins Ausland: Neue EU Standardvertragsklauseln – was will Schrems?
Gespeichert von Dr. Axel Spies am
Das Thema, wie man internationale Datenübermittlungen nach dem wegweisenden EuGH Schrems 2 Urteil vom Juli in den Griff bekommt, verfolgen wir hier im Blog intensiv.
Interessamt ist die neue Eingabe, welche die von Max Schrems gegründete und unterstützte Organisation NOYB in Brüssel zu den neuen von der Kommission vorgeschlagenen, mit Spannung erwarteten Standardvertragsklauseln (SCC) eingereicht hat:
Dort heißt es im Absatz E (übersetzt):
„Artikel 1.1 des Beschlussentwurfs besagt, dass die SCCs als angemessene Garantien im Sinne von Artikel 46 Absatz 1 DSGVO betrachtet werden, wenn der Exporteur der DSGVO unterliegt und der Importeur nicht der DSGVO unterliegt.
Jurisdiktioneller Ansatz
Nach unserem Verständnis des Entwurfs scheint die Kommission der Ansicht zu sein, dass man nur dann von einer "Übermittlung" personenbezogener Daten nach der DSGVO sprechen kann, wenn der Importeur nicht der DSGVO unterliegt. In diesem Fall, in dem sowohl der Datenexporteur als auch der Datenimporteur der DSGVO unterliegen und letzterer seinen Sitz außerhalb der EU hat, wären keine angemessenen Garantien (und daher keine SCCs) gemäß Kapitel V der Datenschutz-Grundverordnung erforderlich, da keine "Übermittlung" stattfindet.“
Wenn diese Auslegung der NOYB stimmt, wären viele international tätige Unternehmen aus dem Schneider. Die meisten von ihnen haben Filialen oder Außenstellen in der EU betreiben ihre Geschäfte in der EU im Sinne des Art. 3 DS-GVO (Marktortprinzip) und unterliegen damit der DS-GVO.
Hier einige Punkte, die mir spontan zu der genannten engen Auslegung einfallen.
- Im Art. 44 DS-GVO heißt es: “Jedwede Übermittlung personenbezogener Daten, die bereits verarbeitet werden oder nach ihrer Übermittlung an ein Drittland oder eine internationale Organisation verarbeitet werden sollen, ist nur zulässig, wenn der Verantwortliche und der Auftragsverarbeiter die in diesem Kapitel niedergelegten Bedingungen einhalten.” Es gibt dort keine Ausnahme für Unternehmen, die die DS-GVO einhalten. Schon vom Wortlaut setzt die Vorschrift nicht voraus, dass die DS-GVO für den Empfänger nicht anwendbar ist.
- Auch die teleologische Auslegung der Vorschrift und des gesamten Kapitels V spricht dafür, dass das nationale Recht, wo sich der Empfänger befindet, bei der Prüfung der Angemessenheit berücksichtigt werden muss.
- Art 46 (2) (b) DS-GVO - Binding Corporate Rules über die Grenze weg - wäre ziemlich überflüssig.
- Das Schrems 2-Urteil stellt auf den Grundrechtsschutz ab, nicht auf die Einhaltung der DS-GVO.
Was meinen Sie, wann liegt nach der DS-GVO eine Übermittlung vor? Würden die deutschen Datenschutzbehörden eine enge Auslegung mittragen?